Ошибка WCF: «Ошибка сертификата X.509 CN = построение цепочки локального хоста ...»

Question

Я получаю эту ошибку при попытке заставить моего клиента WCF и сервер общаться друг с другом.

Сбой сертификата X.509 CN = localhost. Использованный сертификат имеет цепочку доверия, которую невозможно проверить. Замените сертификат или измените CertificateValidationMode. цепочка сертификатов обработана, но завершена корневым сертификатом которому не доверяет доверие.

Все работает отлично, если я выключаю SSL-сертификаты.

Answer 1

Я исправил проблему, отключив проверку в моем коде, например:

client.ClientCredentials.ServiceCertificate.Authentication.CertificateValidationMode = 
System.ServiceModel.Security.X509CertificateValidationMode.None;

Где client - это экземпляр моей справочной службы.

Answer 2

Существует проблема с вашим сертификатом (я полагаю, вы используете самозаверяющий сертификат). WCF пытается проверить всю цепочку эмитентов и ожидает, что эта цепочка в конечном итоге закончится на доверенном корне.Чтобы отключить эту проверку, вы можете добавить такую ​​строку в ветку app.config.Но этот «костыль» не должен использоваться в производстве serviceBehaviors/behavior/serviceCredentials/clientCertificate

<authentication certificateValidationMode="PeerOrChainTrust" revocationMode="NoCheck" />

Answer 3

Правильно, что нужно сделать, это настроить свой собственный корневой сертификат Dev / Test и подписать сертификаты клиента и сервиса с этим.

Обход цепного доверия в среде разработки / тестированияможет «работать», но ваша среда разработки / тестирования теперь настроена иначе, чем Production, что не очень хорошая идея, поскольку вы можете обнаружить, что некоторые тесты дают ложные срабатывания или ложные отрицания.

Answer 4

Добавьте поведение конечной точки в ваше клиентское приложение (например, App.config) и установите конфигурацию поведения, которую вы добавили в конечную точку.

 <behaviors>
          <endpointBehaviors>
            <behavior name="certificateEndpointBehavior">
              <clientCredentials>
                <serviceCertificate>             
                  <authentication certificateValidationMode="None" revocationMode="NoCheck"/>
                </serviceCertificate>
                </clientCredentials>      
            </behavior>
          </endpointBehaviors>
        </behaviors>

<endpoint address="http://localhost/Invoice.svc" binding="wsHttpBinding"  bindingConfiguration="WsHttpBinding_ACKS" contract="Invoice" name="Invoice"
       behaviorConfiguration="certificateEndpointBehavior" >

</endpoint>

Answer 5

У меня были некоторые трудности с этой же самой проблемой.Я использовал образец CustomToken-VS2010 из WIF SDK.

В примере нет app.config, и я чувствовал, что знание того, как работает код, в любом случае полезно, поэтому я потратил некоторое время на изучение этого.Я чувствую, что должен показать свои результаты здесь.Я надеюсь, что эта информация полезна.

У меня была та же проблема.У меня была проблема "где мне установить этот режим?"Мне было трудно найти объект, для которого было установлено это свойство, который на самом деле был правильным объектом.Я наконец нашел его как часть ChannelFactory :

using System.ServiceModel.Security;
:
ChannelFactory<IEcho> echoChannelFactory = new ChannelFactory<IEcho>(...)
echoChannelFactory.Credentials.ServiceCertificate.Authentication.CertificateValidationMode = X509CertificateValidationMode.None;

Итак, место для установки этого объекта - объект ChannelFactory.

Запуск Visual Studio 2010 как локальногоадминистратор, я смог заставить образец работать (после того, как я также запустил пакетный файл, связанный со всеми образцами для создания сертификата и т. д.)

Опять же, это не что-товы бы поступили в производственной среде , но знание режима настройки режима аутентификации сертификата службы, вероятно, является хорошей вещью, которую нужно знать в целом.

Answer 6

Когда деактивация revocationMode помогла, то, скорее всего, вам не хватает списка отзыва клиентов для вашего корневого CA.

makecert -crl -n "CN=CARoot" -r -sv CARoot.pvk CARoot.crl

Это также необходимо импортировать в сертификацию доверенного корнявласти.Смотри также мой ответ здесь .

Answer 7

Следуя вышеприведенному комментарию Асею, я обнаружил, что та же самая ошибка выше будет выводиться, когда сертификат отсутствует в доверенном хранилище на сервере. Исследуя эту проблему, я также обнаружил, что при просмотре средства просмотра событий в разделе «Журналы / приложения Windows» будет обнаружена ошибка, в которой подробно описан сертификат, с которым возникла проблема. Вы также можете соотнести журнал операций с записями в журнале SVC для службы.

Answer 8

(Я думал, что поделюсь этим на всякий случай, если это кого-то сэкономит) Я столкнулся с этой проблемой при запуске веб-приложения на WIF.Я исправил проблему, переместив копию сертификата x.509, с которым работал, из папки «Сертификаты / личные / сертификаты» в папку «Доверенные корневые центры сертификации / Сертификаты» внутри хранилища сертификатов.Вы можете сделать это, запустив консоль управления Microsoft